Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
La registrazione degli accessi al server fornisce record dettagliati per le richieste che sono effettuate a un bucket. I log di accesso al server sono utili per numerose applicazioni. Ad esempio, le informazioni del log di accesso possono essere utili nei controlli di accesso e di sicurezza. Queste informazioni possono essere utili anche per comprendere la base clienti e la fattura Amazon S3.
Nota
I log degli accessi al server non registrano le informazioni sugli errori di reindirizzamento a regioni sbagliate per le regioni lanciate dopo il 20 marzo 2019. Errori di reindirizzamento della regione errata si verificano quando una richiesta per un oggetto o un bucket viene effettuata al di fuori della regione in cui si trova il bucket.
Come si abilita il recapito dei log?
Per abilitare la distribuzione dei log, attenersi alla procedura di base riportata di seguito. Per informazioni dettagliate, consultare Abilitazione della registrazione degli accessi al server Amazon S3.
-
Fornisci il nome del bucket di destinazione (noto anche come bucket di destinazione). Questo bucket è dove vuoi che Amazon S3 salvi i log di accesso come oggetti. Sia i bucket di origine che quelli di destinazione devono trovarsi nella stessa Regione AWS e devono appartenere allo stesso account. Il bucket di destinazione non deve avere una configurazione del periodo di conservazione predefinita di S3 Object Lock. Inoltre, nel bucket di destinazione l'opzione di pagamento a carico del cliente non deve essere abilitata.
È possibile far recapitare i log a qualsiasi bucket di proprietà che si trovi nella stessa Regione del bucket di origine, compreso il bucket di origine stesso. Tuttavia, per una gestione più semplice dei log, si consiglia di salvare i log di accesso in un bucket diverso.
Quando il bucket di origine e il bucket di destinazione sono lo stesso bucket, vengono creati log aggiuntivi per i log che sono scritti nel bucket, il che crea un loop di log infinito. Ciò potrebbe non essere ideale perché potrebbe causare un piccolo incremento di fatturazione dello storage. Inoltre, i registri aggiuntivi relativi ai log potrebbero rendere difficile trovare il log che si sta cercando.
Se scegli di salvare i log degli accessi nel bucket di origine, è consigliabile specificare un prefisso di destinazione (noto anche come prefisso target) per tutte le chiavi degli oggetti del log. Quando specifichi un prefisso, tutti i nomi degli oggetti del log iniziano con una stringa comune, che semplifica l'identificazione degli oggetti del log.
-
(Facoltativo) Assegna un prefisso a tutte le chiavi degli oggetti del log Amazon S3. Il prefisso di destinazione (noto anche come prefisso target) semplifica l'individuazione degli oggetti del log. Se, ad esempio, specifichi il valore di prefisso
logs/
, ogni chiave degli oggetti del log creato da Amazon S3 è preceduta dal prefissologs/
.logs/2013-11-01-21-32-16-E568B2907131C0C0
Se specifichi il valore del prefisso
logs
, l'oggetto del log viene visualizzato come segue:logs2013-11-01-21-32-16-E568B2907131C0C0
I prefissi sono utili anche per distinguere tra i bucket di origine quando più bucket si collegano allo stesso bucket di destinazione.
Il prefisso può essere utile nell'eliminazione dei log. Ad esempio, è possibile impostare una regola di configurazione del ciclo di vita per Amazon S3 per eliminare gli oggetti con un prefisso specifico. Per ulteriori informazioni, consulta Eliminazione dei file di log Amazon S3.
-
(Facoltativo) Imposta autorizzazioni che consentano ad altri utenti di accedere ai log generati. Per default, solo il proprietario del bucket dispone di tutte le autorizzazioni per accedere agli oggetti del log. Se il bucket di destinazione utilizza l'impostazione imposta dal proprietario del bucket per S3 Object Ownership per disabilitare gli elenchi di controllo degli accessi (ACLs), non puoi concedere le autorizzazioni nelle sovvenzioni di destinazione (note anche come sovvenzioni di destinazione) che utilizzi. ACLs Tuttavia, puoi aggiornare la policy di bucket per il bucket di destinazione per concedere l'accesso ad altri utenti. Per ulteriori informazioni, consulta Identity and Access Management per Amazon S3 e Autorizzazioni per la distribuzione dei registri.
-
(Facoltativo) Imposta un formato della chiave dell'oggetto di log per i file di log. Sono disponibili due opzioni per il formato della chiave dell'oggetto di log (noto anche come formato chiave dell'oggetto target):
-
Non-date-based partizionamento: questo è il formato originale della chiave dell'oggetto di registro. Se scegli questo formato, il formato della chiave del file di log viene visualizzato come segue:
[DestinationPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]
Ad esempio, se specifichi
logs/
come prefisso, gli oggetti di log vengono denominati in questo modo:logs/2013-11-01-21-32-16-E568B2907131C0C0
-
Partizionamento basato sulla data: se scegli il partizionamento basato sulla data, puoi scegliere l'ora dell'evento o l'ora di consegna per il file di log come origine della data utilizzata nel formato di log. Questo formato semplifica l'interrogazione dei log.
Se scegli il partizionamento basato sulla data, il formato chiave del file di log viene visualizzato come segue:
[DestinationPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]
Ad esempio, se specifichi
logs/
come prefisso target, gli oggetti del log vengono denominati in questo modo:logs/123456789012/us-west-2/
amzn-s3-demo-source-bucket
/2023/03/01/2023-03-01-21-32-16-E568B2907131C0C0Per l'ora di consegna, l'ora indicato nei nomi dei file di log corrisponde all'ora di consegna dei file di log.
Per quanto riguarda l'ora di consegna degli eventi, l'anno, il mese e il giorno corrispondono al giorno in cui si è verificato l'evento e l'ora, i minuti e i secondi sono impostati su
00
nella chiave. I log forniti in questi file di log riguardano solo un giorno specifico.
Se configuri i log tramite AWS Command Line Interface (AWS CLI) o l'API REST di Amazon S3 AWS SDKs,
TargetObjectKeyFormat
usali per specificare il formato della chiave dell'oggetto di registro. Per specificare il non-date-based partizionamento, usa.SimplePrefix
Per specificare un partizionamento basato sulla data, utilizzaPartitionedPrefix
. Se si utilizzaPartitionedPrefix
, utilizzaPartitionDateSource
per specificareEventTime
oDeliveryTime
.Infatti
SimplePrefix
, il formato della chiave del file di log è il seguente:[TargetPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]
Per
PartitionedPrefix
con l'ora dell'evento o l'ora di consegna, il formato della chiave del file di log viene visualizzato come segue:[TargetPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]
-
Formato della chiave dell'oggetto di log
Amazon S3 utilizza i formati della chiave dell'oggetto seguenti per gli oggetti di log che carica nel bucket di destinazione:
-
Non-date-based partizionamento: questo è il formato originale della chiave dell'oggetto di registro. Se scegli questo formato, il formato della chiave del file di log viene visualizzato come segue:
[DestinationPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]
-
Partizionamento basato sulla data: se scegli il partizionamento basato sulla data, puoi scegliere l'ora dell'evento o l'ora di consegna per il file di log come origine della data utilizzata nel formato di log. Questo formato semplifica l'interrogazione dei log.
Se scegli il partizionamento basato sulla data, il formato chiave del file di log viene visualizzato come segue:
[DestinationPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]
Nella chiave dell'oggetto di log, YYYY
, MM
, DD
, hh
, mm
e ss
indicano rispettivamente anno, mese, giorno, ora, minuti e secondi in cui è stato distribuito il file di log. Date e ore sono in formato UTC.
Un file di log distribuito in un orario specifico può contenere report scritti in un momento qualsiasi prima di quell'orario. Non esiste modo di sapere se tutti i report del log per un determinato intervallo di tempo sono stati distribuiti o meno.
Il componente UniqueString
della chiave serve a impedire che i file vengano sovrascritti. Non ha alcun significato e il software di elaborazione dei log dovrebbe ignorarlo.
Come vengono distribuiti i log?
Amazon S3 raccoglie periodicamente i record dei log degli accessi, li consolida in file di log e quindi carica i file di log nel bucket di destinazione come oggetti log. Se abiliti la registrazione di log in più bucket di origine che identificano lo stesso bucket di destinazione, nel bucket di destinazione saranno presenti i log degli accessi per tutti i bucket di origine. Ogni oggetto del log, tuttavia, fornisce i report del log di accesso per uno specifico bucket di origine.
Amazon S3 utilizza uno speciale account di recapito di log per scrivere i log degli accessi nel server. Queste scritture sono soggette alle normali restrizioni del controllo accessi. Si consiglia di aggiornare la policy del bucket nel bucket di destinazione per concedere l'accesso al principale del servizio di registrazione di log (logging.s3.amazonaws.com
) per la consegna di log degli accessi. Puoi anche concedere l'accesso per la consegna di log degli accessi al gruppo di consegna di log S3 tramite la lista di controllo degli accessi (ACL) del bucket. Tuttavia, non è consigliabile concedere l'accesso al gruppo di consegna di log S3 tramite le ACL del bucket.
Quando abiliti la registrazione degli accessi al server e si concede l'accesso per la consegna di log di accesso tramite la policy del bucket di destinazione, devi aggiornare la policy per consentire l'accesso s3:PutObject
al principale del servizio di registrazione dei log. Se utilizzi la console di Amazon S3 per abilitare la registrazione dei log degli accessi al server, la console aggiorna automaticamente la policy del bucket di destinazione per concedere tali autorizzazioni al principale del servizio di registrazione di log. Per ulteriori informazioni sulla concessione di autorizzazioni per il recapito del registro degli accessi al server, consulta Autorizzazioni per la distribuzione dei registri.
Nota
S3 non supporta l'invio di CloudTrail log o log di accesso al server al richiedente o al proprietario del bucket per le richieste degli endpoint VPC quando la policy dell'endpoint VPC le nega o per le richieste che falliscono prima che la policy VPC venga valutata.
Impostazione proprietario del bucket applicato per S3 Object Ownership
Se il bucket di destinazione utilizza l'impostazione forzata del proprietario del bucket per la proprietà degli oggetti, sono disabilitati e non influiscono più sulle autorizzazioni. ACLs È necessario aggiornare la policy del bucket nel bucket di destinazione per concedere l'accesso al principale del servizio di registrazione di log. Per ulteriori informazioni su Object Ownership, consulta Concedere l'accesso al gruppo di consegna di log S3 per la registrazione di log degli accessi al server.
Consegna di log del server sulla base del miglior tentativo
I record dei log degli accessi al server vengono distribuiti sulla base del miglior tentativo. La maggior parte delle richieste di un bucket correttamente configurato per la registrazione determinano la consegna di un report del log. La maggior parte dei record vengono distribuiti entro qualche ora dal momento della creazione, ma possono essere distribuiti come maggiore frequenza.
La completezza e la tempestività della registrazione del server non è tuttavia garantita. È possibile che il record del log per una richiesta specifica venga consegnato molto tempo dopo l'elaborazione effettiva della richiesta o non venga consegnato affatto. Potresti persino notare la duplicazione di un record di log. Lo scopo dei log del server è fornire un'idea della natura del traffico nel bucket. Sebbene sia raro perdere i record di log o vedere la duplicazione di un record di log, tieni presente che la registrazione di log del server non intende essere un resoconto completo di tutte le richieste.
Data la natura basata sul miglior tentativo possibile della registrazione di log del server, i report di utilizzo potrebbero includere una o più richieste di accesso che non appaiono in un log del server consegnato. Puoi trovare questi report di utilizzo in Report costi e utilizzo nella console AWS Billing and Cost Management .
Tempo richiesto per l'applicazione delle modifiche dello stato di registrazione del bucket
L'applicazione effettiva delle modifiche dello stato di registrazione di un bucket sulla distribuzione dei file di log richiede tempo. Ad esempio, se abiliti la registrazione per un bucket, è possibile che nell'ora successiva alcune richieste vengano registrate nel log e altre no. Supponi di cambiare il bucket di destinazione per la registrazione di log dal bucket A al bucket B. Nell'ora successiva, alcuni log potrebbero continuare a essere distribuiti nel bucket A, mentre potrebbero essere consegnati nel nuovo bucket di destinazione, B. In tutti i casi, le nuove impostazioni diventano effettive senza bisogno di ulteriori azioni da parte dell'utente.
Per ulteriori informazioni su registrazione e file di log, consulta le seguenti sezioni: